攻撃者視点の疑似攻撃で弱点を突く――JCBが「常時監視」に踏み切った理由：チェックリストはその瞬間の“スナップショット”に過ぎない

堅ろうなセキュリティ体制を誇るJCBが、ASM／CTEMソリューション「ULTRA RED」を導入した。従来のチェックリストは“一断面”に過ぎず、日々変化する脅威の把握に限界があったからだ。「攻撃者視点での常時監視」の実際とその効果を聞く。

PR／ITmedia

PR

“一断面”しか見えないチェックリストの限界

　日本発、唯一^※の国際カードブランドを運営するジェーシービー（以下、JCB）。数多くの顧客の決済情報を預かる重要インフラであることから、早くからCSIRTを設立して米国国立標準技術研究所（NIST）や米国の金融機関向けフレームワーク「CRI Profile」などのグローバルなセキュリティ基準に基づいた多層的な防御体制を構築してきた。DLPやEDR、CNAPPといったセキュリティツールもいち早く導入しており、業界内でもセキュリティ投資に積極的な企業として知られる。

※JCB公式サイトより

　そんなJCBがなぜ、「ASM」（攻撃対象領域管理）と「CTEM」（継続的脅威エクスポージャー管理）ソリューションであるKELAの「ULTRA RED」を導入したのか。JCBのシステムリスク・サイバーセキュリティ統括室で、CSIRTメンバーとして全社のサイバーセキュリティ対応を担う平野勝啓氏は同社のセキュリティ統制は2つの柱で成り立っていると話す。

平野勝啓氏（ジェーシービー システム企画部／システムリスク・サイバーセキュリティ統括室 部長代理）

　1つは全社的なセキュリティルールとリスク管理フレームワークの策定・運用。もう1つはCSIRTとして、脅威インテリジェンスを活用しながら全社を横断的に見渡す実務だ。平野氏は両方を担う立場にある。

　しかし、従来のガバナンスの中核を成していたチェックリスト方式には限界があった。

　「チェックリストで確認できるのは、あくまで“ある一断面”の状況に過ぎません。システムは日々アップデートされ、運用の中で設定が変わることもあります。人的ミスはゼロにできませんし、攻撃者は日々新たな脆弱（ぜいじゃく）性を発見しています。昨日まで安全だったものが、今日も安全とは限らない。そうした状態変化を定期的なチェックリストだけで捉えるのは、構造的に無理がありました」

　平野氏はチェックリストの存在自体を否定しているわけではない。「チェックリストは、発注者と受託者の間でアカウンタビリティーを確保するためのツールとしてコストパフォーマンスが極めて高い」と認めた上で、防御の手段としては別の施策が必要だったと語る。

　課題は他にもあった。チェックリストに回答する側と、チェックリストを確認する側の認識のズレだ。脆弱性対応策の運用状況を尋ねた場合、確認する側は開発環境を含めた管轄インフラ全体の結果を求めているのに対し、回答する側は本番環境しか調査しないこともある。また、回答者のリテラシーによっても回答結果に乖離（かいり）が生まれるリスクは排除できない。

　「確認する側からすると、『時間を割いて回答してくれていることは分かるが、こちらの意図とフィットしない結果が返ってくる』という事態はたびたび起こります。それらを全て指摘して、そうならないよう調整するのは困難です。これは、チェックリストの仕組みの限界だと感じていました。だからこそ、実際に疑似攻撃を仕掛ける手段が重要だと考えたのです」

緊急時の対応スピードを変えた証拠の力

　JCBが注目したのは、KELAのULTRA REDだった。市場には多くのASMツールや脆弱性スキャナーが存在するが、平野氏はULTRA REDの“深さ”と“自律性”を評価したという。

　「ASMツールの多くは、ポートの開放状況やバナー情報を見て『この製品を使っているようだ』と推測するレベルにとどまります。また、脆弱性スキャナーは登録されている資産しか見ないものが大半です。ULTRA REDは自社に関連する資産を自動で洗い出して、その脆弱性が悪用可能かどうか踏み込んで検証します。複数のセキュリティツールを入れていますが、それらと機能が重複することはなく、より深く突っ込んだモニタリングができる存在だと感じました」

　ULTRA REDの導入がもたらした最大の変化は、脆弱性判明時の初動対応にあった。

　今までJCBは、世間を騒がせるような重大な脆弱性が公開された際、同社が利用・提供するシステムの担当部門や委託先に情報連携し、影響確認と対応を依頼するフローで動いていた。しかし、結果を得るまでには相手方のリソースやスケジュールに依存するタイムラグが避けられない。

　「ULTRA RED導入後は、該当する脆弱性のシグネチャがULTRA REDに実装されさえすれば、外形的に自社が影響を受けるかどうかを自分たちで確認できるようになりました。もちろんシステムの運用担当者に最終確認は必要ですが、コミュニケーションを待たずに状況を把握できる。このスピード感がもたらすメリットは大きいですね」

　そう話す平野氏がULTRA REDの導入に踏み切ったきっかけとしては、2021年に世間を騒がせたLog4Shellの一件が大きい。ログ取得によく使われるJavaライブラリ「Log4j」で、任意コードが実行可能なゼロデイの脆弱性が発見された。

　「脆弱性情報を入手した際、潜在的な影響範囲は計り知れないと途方に暮れました。明示的に利用しているケースの他にもミドルウェアやアプライアンスへの組み込みが考えられ、Javaで動作するシステムであれば影響を受ける可能性は排除できないと思い至ったからです。加えて、委託先に影響確認を行っても、自身で構築したコード以外のOSSの依存関係を正確に把握することは不可能だとも考えました」

　結果、JCBは自社影響評価のために、膨大な数のシステムがJavaベースで構築されていないかをまず確認し、追ってCISAなどから発信された悪用条件からアウトバウンド通信の許可状況などの追加確認を行うこととなった。これはCSIRTとして、多大なリソースを割かざるを得ない事態だった。

　今はこうした検証を、ツールの力で迅速に実行できるようになっている。ULTRA REDが脆弱性の存在を実証してくれれば、委託先とのやりとりに頼る必要はない。「問い合わせ→回答待ち」というプロセスの一部を省略して、自社で能動的に状態を確認した上で対処を依頼できるようになった。

「攻撃者は同意なくやってくる」　CISOの後押し

　とはいえ、本番環境に外部から疑似攻撃を仕掛けるULTRA REDの導入には、システムへの悪影響を懸念する声が上がる可能性がある。JCBのようなミッションクリティカルな決済インフラを担う企業であれば、なおさら慎重になるはずだ。そう問うと、平野氏は「導入の決断は驚くほどスムーズだった」と笑顔を見せる。

　「当社のCISOが本質を突いた判断をしてくれました。『われわれが躊躇（ちゅうちょ）している間にも、攻撃者は許可なくスキャンして、攻撃してくるかもしれない。もしULTRA REDのスキャンで何らかの影響が出たとしても、実際に攻撃を受けるよりいいだろう』と。このトップの理解があったからこそ、攻撃者視点を持つ能動的なアプローチに踏み切れました」

　ULTRA REDの導入後、「懸念されたようなトラブルや過剰な検知に悩まされることはありませんでした」と平野氏は話す。運用については、ULTRA RED専任の担当者は置いておらず、CSIRTのメンバーが日常業務の中で検知状況を確認して新たな事象があれば調査するという流れで対処している。

　「特別なことはしていません。検知が上がっていないかを日々確認して、何かあれば対処するというだけです。以前と同様の体制で問題なく回せています」

　ULTRA REDの誤検知についても、実態に即していないものはほとんどなかったという。開発環境のリソースなど性質上あまり気にしなくてよいものが検知されるケースはあるが、トリアージしながら運用している。

　「当社は金融機関なので日々、相当数の攻撃通信を防いでいます。ULTRA REDのスキャンをセキュリティ機器で検知することもありますが、問題になることはありません。むしろ、本番環境のURLから開発環境のリソースを自動的にキャッチし、設定不備を発見・是正できたケースもあります。仕組みとして日々スキャンが回っている安心感は心強い限りです」

ガバナンスの成熟度にかかわらず、実効性の担保が求められる

　多くの日本企業がまだ都度のセキュリティ診断やチェックリストによる確認に頼っている現状について、平野氏は企業のフェーズに応じた2つの視点を示す。

　1つは、ビジネス展開に伴いIT環境が頻繁に変わる、成長企業のケースだ。

　「新規事業でWebサイトを次々と立ち上げるようなフェーズでは、ガバナンスの世界だけで全てを事前に把握するのは難しいはずです。こうした企業こそ、ULTRA REDのようなソリューションによって自社の外部境界を常に監視しておくことで、気付けていなかったアタックサーフェスを発見して対策を講じられるようになります」

　もう1つは、JCBのようにガバナンスが成熟した大企業のケースだ。

　「既存のガバナンスは、ある程度の善意に基づいて運用されています。しかし状況は、ミスをはじめとした内部要因や、脆弱性といった外部脅威によって常に変わります。既存の統制に加えて、実効性を担保するための一手としてこうしたソリューションを導入することには十分な価値があると考えています」

　平野氏が今後の展望として挙げるのが、グループ会社や関係の深い委託先を含むサードパーティーリスクへの対応だ。

　「自社単独のセキュリティ対策は当然ですが、今後はサードパーティーリスクがますます重要になります。資本関係のあるグループ会社や関係性の深い委託先も含めて、事前に説明機会と同意を得た上でULTRA REDによるモニタリングを推進しています」

　チェックリストの「◎」は、ある瞬間のスナップショットでしかない。攻撃者は、その「◎」が「×」に変わる瞬間を狙っている。静的な確認から動的な監視へ。JCBの事例は、ガバナンスが成熟した大企業であっても新たな“武器”を手に取る必要があることを示している。

能動的サイバー防御（ACD）がよく分かる！　セミナー開催のお知らせ

日時：2026年4月22日（水）14:00〜17:00　受付開始 13：30〜
会場：ステーションコンファレンス東京
参加費：無料
お問い合わせ先：jp-pr@ke-la.com（KELA マーケティング部）

申し込みはこちら